我想知道是否检查并删除 "<script"
来自文本输入字段是否足以阻止 JavaScript 代码注入(inject)攻击?
最佳答案
不,仅仅阻止特定案例是不够的 - 迟早会有人想出一个你没有想到的人为案例。
查看此 list of XSS attacks对于最常见的(可能存在其他更奇特的)。您需要将允许的语法列入白名单,而不是假设除了已知向量之外的所有内容都应该没问题。
关于javascript - XSS 预防。处理 <script 就足够了吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4344703/